Cómo el malware sigue entrando en tu Android aunque resetees el móvil de fábrica

Última actualización el 20/04/2020 a las 15:01

Ha pasado ya algún tiempo desde que hablamos de xHelper, un famoso malware descubierto en Android cuya principal peculiaridad es que era, básicamente, imposible de eliminar. Por algún motivo que hasta ahora se desconocía, el software malicioso era capaz de sobrevivir instalado en el teléfono incluso aunque éste se formatease y todos sus datos fueran eliminados.

2019 será el año del malware según el último informe del conocido antivirus McAfee

Tras varios meses de trabajo, los investigadores de Kaspersky han descubierto, al fin, de qué forma actúa este peligroso malware, y cómo es capaz de sobrevivir escondido en los teléfonos siendo capaz de “reinstalarse” automáticamente después de haber eliminado todos los datos almacenados en el dispositivo.

Así funciona xHelper, el malware “imposible de eliminar”

Según han descubierto los investigadores, el malware en cuestión contaba con un sistema aún más sofisticado de lo que se pensaba en un principio. Al realizar la instalación de la app maliciosa –que era ofrecida como una herramienta de “optimización” destinada a eliminar archivos innecesarios o antiguos de la memoria interna del móvil–, el código malicioso se ejecutaba descargando un “rootkit” que afectaba principalmente a las versiones de Android comprendidas entre 6.0 Marhsmallow y 7.0 Nougat —que aún hoy siguen siendo utilizadas por un buen número de usuarios de dispositivos Android–.

Una vez se han obtenido privilegios avanzados en el sistema, se realizaría la instalación del propio malware. La principal peculiaridad de este malware, es que sería instalado en la partición del sistema, de forma que el usuario fuese incapaz de eliminarlo de manera sencilla.

Para realizar la instalación del software malicioso en esta partición, una vez se habían obtenido permisos avanzados, el malware era capaz de montar la partición en modo de escritura –por defecto se encuentra en modo de solo lectura, precisamente para evitar problemas de seguridad como este, entre otras cosas–. Posteriormente, los archivos relacionados con el software malicioso eran otorgados con un atributo inmutable que impediría su eliminación incluso a aquellos usuarios con permisos de root.

Por suerte, es posible eliminar xHelper

A pesar de la sofisticada técnica utilizada por xHelper para instalarse y persistir en el sistema, los investigadores han encontrado una manera relativamente sencilla de eliminar el malware de los dispositivos.

Según afirman en el informe publicado por Kaspersky, eliminar xHelper no implica desinfectar por completo el sistema, dado que el programa instalado en la partición del sistema es capaz de reinstalar el software malicioso tras haber formateado la partición de datos del usuario.

Para proceder a su eliminación total, será necesario recurrir al modo recovery del dispositivo, y a través de él extraer el archivo libc.so del firmware original del dispositivo para reemplazarlo por el archivo infectado, actualmente situado en la partición del sistema del teléfono.

No obstante, esta solución no funcionaría en aquellos en los que se ha descubierto que el software original ya incluía dicho malware –en su mayoría provenientes de fabricantes de origen chino–, dado que el archivo original estaría infectado con el código malicioso. En ese caso, los investigadores recomiendan recurrir a un firmware distinto al original, como por ejemplo una ROM de terceros compatible con el dispositivo.

VER COMENTARIOS

Recomendado